1、收稿日期:网络出版时间:基金项目:国家自然科学基金(,);广西自然科学基金创新研究团队项目(G X N S F GA )作者简介:樊婷(),女,桂林电子科技大学博士研究生,E m a i l:f a n t i n g c o m韦永壮(),男,教授,E m a i l:w a l k e r_w y z g u e t e d u c n通信作者:冯伟(),男,工程师,E m a i l:c o m网络出版地址:h t t p s:/k n s c n k i n e t/k c m s/d e t a i l/T N h t m ld o i 敭 j 敭i s s n 敭 敭 敭 一种大状
2、态轻量级密码S盒的设计与分析樊婷,冯伟,韦 永 壮(桂林电子科技大学 广西密码学与信息安全重点实验室,广西壮族自治区 桂林 ;广西网信信息技术有限公司,广西壮族自治区 南宁 )摘要:A l z e t t e是 年美密会上提出的基于A R X结构的 比特轻量级S盒,具备软硬件性能出色、扩散性强和安全性高等诸多优点,受到了国内外的广泛关注.然而,具有杰出性能与安全性的 比特轻量级S盒极少,如何设计出一种比A l z e t t e性能更佳的大状态轻量级S盒是目前研究的难点.基于A R X结构,设计出一种性能与安全性兼优的大状态轻量级密码S盒,提出了“层次筛选法”,通过提前设置最优差分/线性特征的
3、界来确定最佳循环移位参数,并对新密码S盒给出了安全性评估.结果表明:新密码S盒与A l z e t t e的软硬件实现性能相当;同时轮新密码S盒最优差分特征(线性逼近)的概率达到(),轮新密码S盒的最优线性逼近概率达到;而A l z e t t e的轮最优差分特征(线性逼近)概率为 (),轮最优线性逼近概率为 .新密码S盒表现出更强的抗差分/线性密码分析的能力.关键词:轻量级分组密码;密码S盒;差分密码分析;线性密码分析中图分类号:T N 文献标识码:A文章编号:()T h ed e s i g na n dc r y p t a n a l y s i s o f a l a r g e s
4、 t a t e l i g h t w e i g h t c r y p t o g r a p h i cS b o xF ANT i n g F ENG W e i WE IY o n g z h u a n g 敭 G u a n g x iK e yL a b o r a t o r yo fC r y p t o g r a p h ya n dI n f o r m a t i o nS e c u r i t y G u i l i nU n i v e r s i t yo fE l e c t r o n i cT e c h n o l o g y G u i l i
5、n C h i n a 敭 G u a n g x iW a n g x i nI n f o r m a t i o nT e c h n o l o g yC o 敭 L t d 敭 N a n n i n g C h i n a A b s t r a c t A l z e t t ei sa b i tl i g h t w e i g h tS b o xb a s e do nt h eA R Xs t r u c t u r ep r o p o s e da tt h eC R Y P T O 敭 I th a sm a n ya d v a n t a g e ss u c
6、 ha se x c e l l e n th a r d w a r ea n ds o f t w a r ep e r f o r m a n c e s t r o n gd i f f u s i o na n dh i g hs e c u r i t y s ot h a t i t r e c e i v e sw i d ea t t e n t i o nd o m e s t i c a l l ya n d i n t e r n a t i o n a l l y 敭 H o w e v e r b i t l i g h t w e i g h tS b o x e
7、 sw i t he x e c l l e n tp e r f o r m a n c ea n ds e c u r i t ya r er a r e 敭 Wh e t h e ri ti sp o s s i b l et od e s i g nt h el a r g es t a t el i g h t w e i g h tS b o xw i t hb e t t e rp e r f o r m a n c e t h a nA l z e t t e i sd i f f i c u l t i nc u r r e n t r e s e a r c h 敭 I n
8、t h i sp a p e r a l a r g es t a t el i g h t w e i g h tc r y p t o g r a p h i cS b o xb a s e do nt h e A R Xs t r u c t u r e w i t ha ne x c e l l e n tp e r f o r m a n c ea n ds e c u r i t y i sd e s i g n e d 敭 A h i e r a r c h y f i l t e r i n gm e t h o d i sp r o p o s e d t od e t e
9、r m i n e t h eo p t i m a l r o t a t i o np a r a m e t e r sb ys e t t i n gt h eb e s td i f f e r e n t i a l l i n e a rc h a r a c t e r i s t i cb o u n d si na d v a n c e a n dt h es e c u r i t ye v a l u a t i o nf o rt h en e wS b o x i sg i v e n 敭 I t i ss h o w nt h a t t h es o f t
10、w a r ea n dh a r d w a r e i m p l e m e n t a t i o np e r f o r m a n c eo f t h en e wS b o x i se q u i v a l e n tt ot h a to ft h eA l z e t t e 敭 F o rt h en e w S b o x t h ep r o b a b i l i t yo f r o u n db e s td i f f e r e n t i a lc h a r a c t e r i s t i c l i n e a ra p p r o x i
11、m a t i o n u pt o a n d t h e p r o b a b i l i t y o f r o u n d b e s tl i n e a ra p p r o x i m a t i o nr e a c h e s 敭 B u tf o rt h e A l z e t t e t h e r o u n d b e s t d i f f e r e n t i a lc h a r a c t e r i s t i c l i n e a r 年月第 卷第期西安电子科技大学学报J OURNA LO FX I D I ANUN I V ER S I TYA
12、u g V o l N o h t t p:/j o u r n a l x i d i a n e d u c n/x d x ba p p r o x i m a t i o n w i t hp r o b a b i l i t yo f a n dt h e r o u n db e s t l i n e a ra p p r o x i m a t i o nw i t hp r o b a b i l i t yo f 敭 T h en e wS b o xs h o w sas t r o n g e rr e s i s t a n c ea g a i n s td i
13、f f e r e n t i a l c r y p t a n a l y s i sa n dl i n e a r c r y p t a n a l y s i s 敭K e yW o r d s l i g h t w e i g h tb l o c kc i p h e r c r y p t o g r a p h i cS b o x d i f f e r e n t i a l c r y p t a n a l y s i s l i n e a r c r y p t a n a l y s i s 引言随着后量子密码、认证加密算法等研究的发展,为了提高密码算法的安
14、全性以及适用于更广阔的物联网应用环境,需要对轻量级分组密码算法的分组长度和密钥长度提出新的安全需求.年,美国国家标准与技术研究院启动轻量级密码算法征集计划,接受软硬件性能突出且适用于资源受限环境中的轻量级认证加密方案和哈希算法,年宣布 个算法入围最终轮.年月,我国面向全国的密码研究团队,启动了分组密码算法设计竞赛.年月公布了进入第二轮的 个候选算法,月进入最终评选,u B l o c k和B a l l e t算法获得了一等奖.在许多轻量级密码竞赛中,越来越多的方案采用大状态置换,规模为 b i t甚至 b i t的大状态分组密码或内部置换被提出,如KNO T、G i m l i和S P A
15、R K L E等.叶涛等于 年基于“标志位”技术,通过构建密码S盒的新可分性模型,搜索到KNO T 密码算法的 轮零和区分器.年,谭豪等首先根据“与操作”的差分传播规律,为G i m l i置换设计了一个差分传播系统,找到了轮不可能差分区分器.然后向前扩展轮,实现了 轮G i m l i认证加密方案的状态恢复攻击.S P A R K L E作为入围N I S T轻量级密码竞赛的 个最终候选算法之一,由于非线性部件采用 b i tS盒 A l z e t t e,其安全性同样备受业界关注.A l z e t t e是由B E I E R L E等 提出的一种新型大状态轻量级S盒,模加是唯一的非线
16、性部件,循环移位量也经过了特殊选取,整个结构提供了强大的安全性来抵御许多经典攻击.A l z e t t e作为S盒来构造密码算法,其安全性问题引起了众多密码学者的关注.年,许峥等 将L i p m a a M o r i a i限制条件与符号差分相结合,提出了一种基于可满足性问题来搜索A l z e t t e不可能差分区分器的自动化分析工具.在旋转异或分析方面,HUAN G等 扩展了模加运算中旋转异或密码分析的概率传播公式,给定任意旋转参数,能够实现A l z e t t e的旋转异或差分概率的计算.L I U等 在 年欧密会上发表的文章中将差分线性密码分析中的差分部分替换为旋转异或差分,
17、对轮A l z e t t e展开了分析.尽管如此,如何计算任意输出掩码的旋转差分线性相关性仍然未知.年美密会,N I U等 针对此问题给出一种计算任意线性输出掩码的(旋转)差分线性相关性的有效算法,并基于该算法推导出一种评估A R X密码(旋转)差分线性相关性的技术,得到了A l z e t t e更精确的旋转差分线性相关性的值.年,L I U等 推广了MO R AW I E C K I等 分析K e c c a k 的技术,找到了A l z e t t e相关性为 的轮差分线性区分器和相关性为 的轮旋转差分线性区分器.很显然,对于A l z e t t e安全性分析大多处于低轮次的研究.这
18、是由于A l z e t t e是一个大状态的S盒,通过直接计算差分分布表(D i f f e r e n c eD i s t r i b u t i o nT a b l e,D D T)和线性逼近表(L i n e a rA p p r o x i m a t i o nT a b l e,L A T)来评估其抗差分类/线性类分析的能力是无法实现的,突出了A l z e t t e安全高效的特点.然而迄今为止,基于A R X结构的 b i t轻量级S盒并不多,是否存在基于A R X结构的新型大状态轻量级S盒,如何设计出性能与安全都达到最优的大状态轻量级S盒,也是研究的热点.鉴于上述存在的
19、问题,笔者提出了一种“层次筛选法”.通过提前设置最优差分特征/线性逼近的概率值,结合混合整数线性规划(M i x e dI n t e g e rL i n e a rP r o g r a mm i n g,M I L P)技术构建了差分/线性密码分析的自动化分析模型,确定了最佳循环移位参数,设计了一种基于A R X结构的 b i t轻量级密码S盒.结果表明:当迭代轮数R时,新密码S盒的最优差分特征(线性逼近)的概率为(),而此时A l z e t t e最优差分特征(线性逼近)概率为 (),表明了新密码S盒抵抗差分和线性密码分析的能力都达到了最佳.迭代轮,新密码S盒的最优差分特征概率为;迭
20、代轮,新密码S盒的最优线性逼近概率为,在抗差分/线性密码分析方面表现出更卓越的性能.第期樊婷等:一种大状态轻量级密码S盒的设计与分析h t t p:/j o u r n a l x i d i a n e d u c n/x d x b 基本知识介绍 符号说明文章使用的符号如下所示:异或运算;:级联;:模加运算;:循环右移.A l z e t t e简介B E I E R L E等提出的A l z e t t e对 b i tX(XX)输入状态进行置换,其中,X(x,x),X(x,x),如图所示,分为左右部分进行操作,每部分长度为 b i t.A l z e t t e包括模加、异或和循环移位
21、种运算,c是轮常数.A l z e t t e实例运算如算法所示.图为A l z e t t e实例结构图示.图A l z e t t e实例算法A l z e t t e实例.输入:(X,X)F F 输出:(Y,Y)F F XX(X)XX(X)XXcXX(X)XX(X)XXcXX(X)XX(X)XXcXX(X)YX)X)YXc 预备知识定义(模n加法)令x,yFn,则xyxyc a r r y(x,y),()其中,c a r r y(x,y)(cn,cn,c)Fn,表示x y的进位比特,使用以下公式进行计算:c,ci(xiyi)(xici)(yici),in.()定义(模n加法的异或差分概率
22、)模n加法的差分定义为两个输入差分,一个输出差分的元组(,),Fn.则模n加法的异或差分概率d p(,)被定义为d p(,)(x,y):(x)(y)(xy)n.()定理 若差分特征(,)概率不为零,需要满足以下条件,即当且仅当与当i i i(i,n)时,i i i i i i.定理 若差分特征(,)存在,则差分概率d p(,)n ie q(i,i,i),其中:e q(i,i,i),iii,其他.()西安电子科技大学学报第 卷h t t p:/j o u r n a l x i d i a n e d u c n/x d x b定义(模n加法的线性相关系数 )假设A,B是模n加法的两个输入掩码,
23、是输出掩码,A,B,Fn.那么,模n加法的线性相关系数c o r(A,B,)被定义为 c o r(A,B,)n(x,yFn:(xy)AxByx,yFn:(xyAxBy).()定理 假设模n加法操作的输入掩码和输出掩码分别为A,B和(A,B,Fn).其中,A(An,A),B(Bn,B),(n,).此时,引入一个新的向量k(kn,k),kiiAiBi(ki,in).相关系数可用以下表达式计算:c o r(i,Ai,Bi)L Mkn Mkn MkMkC,()其中,Mr(r)表示的矩阵,且M,MMM,M,MMM,L(,)是行向量,C(,)T是列向量.nekn n kn n k.()定理 假设模n加法操
24、作的输入和输出掩码分别为A,B和(A,B,Fn),满足式()的状态跳转过程.其中kiiAiBi(ki,in),je,e(jn).若线性逼近的相关系数是非零的,则相关系数的绝对值可由下式进行计算:|c o r(i,Ai,Bi)in|ie|.()基于M I L P面向A R X密码算法的差分/线性分析模型混合整数线性规划问题是运筹学中的一类优化问题.目前,解决该优化问题最常见的求解器是G u r o b i 软件.在密码分析领域,往往使用不等式来刻画密码算法的各个操作,目的是先将密码分析问题转化为运筹学中的M I L P问题,然后进行求解,代替传统的手工推导.为了抵抗差分/线性密码分析,通常要求最
25、优差分/线性特征概率要远远大于随机置换概率.A l z e t t e算法不包含S盒操作,唯一的非线性操作是模加.因此,只需要对A l z e t t e的线性操作和模加操作构建模型,即可实现对A l z e t t e算法抵抗差分/线性能力的评估.本节中,分别阐述最优差分特征和线性逼近自动化搜索模型的构建过程.差分特征的自动化搜索模型A l z e t t e的非线性操作只有模加“”,线性操作包括异或(X O R)、循环移位()和分支操作.()X O R操作:对于abc(a、b、c都表示单比特),用以下约束条件表示:abc,abc,abc,abc.()()循环移位:可用线性等式有效地描述,以
26、A l z e t t e中第一个循环移位操作“”为例,构建约束条件.假设A l z e t t e右分支的输入差分为X(x,x),左边表示最高有效位,右边表示最低有效位,经过循环右移 b i t后,输出差分为X(x,x),生成约束条件如下:x x,x x,xx.()第期樊婷等:一种大状态轻量级密码S盒的设计与分析h t t p:/j o u r n a l x i d i a n e d u c n/x d x b()分支操作:对于三分支操作,假设输入输出差分分别为a、b、c,则约束条件为abc.()模加操作:使用文献 提出的针对A R X算法异或差分特征的M I L P模型.主要思想是将定
27、理和定理进行刻画,转化为不等式约束条件.用(i,i,i,i,i,i,e q(i,ii,i)刻画第i与第i比特差分值之间的关系,其中e q(i,i,i)用来计算差分概率.令e q(i,i,i)pi,用以下 个线性不等式即可表示出所有可能的 种差分模式.iipi,iipi,iipi,iiipi,iiipi,i ii i pi,ii i i pi,ii i i pi,ii i i pi,ii i i pi,ii i i pi,ii i i pi,ii i i pi.()()额外条件:限制输入差分只有 b i t活跃,保证输入差分非零,即(x,x,xn).其中,n为分组长度.()目标函数:经过R轮后的
28、差分概率d pRjn ie q(ji,ji,ji)Rjn ipji,则目标函数为m i nRjn ipji.()线性逼近的自动化搜索模型与差分特征模型构建过程类似,假设模加操作的两个输入与连续的两轮之间都是独立的.()分支操作:对于三分支操作,假设输入掩码和输出掩码分别为a和b,c,用以下约束条件表示:abc,abc,abc,abc.()()X O R操作:对于abc(a,b,c都表示单比特),则约束条件为abc.()循环移位:与差分特征的自动化搜索模型中的循环移位操作约束条件相同.()模加操作:使用文献 提出的针对A R X算法线性逼近的自动化搜索技术.主要思想是将定理和定理进行刻画,转化为
29、不等式约束.用(si,i,Ai,Bi,si)表示状态i 跳转到i过程,如果ie,si;ie,si,其中si用来计算相关系数的绝对值.用以下个线性不等式可表示出 种所有可能的模式:si iAiBisi,si iAiBisi,si iAiBisi,si iAiBisi,si iAiBisi,si iAiBisi,si iAiBisi,si iAiBisi.()西安电子科技大学学报第 卷h t t p:/j o u r n a l x i d i a n e d u c n/x d x b()额外条件:需要添加个额外约束条件,首先限制输入掩码只有b i t活跃,保证输入掩码非零,即(x,x,xn).
30、其中,n为分组长度.其次,设置sn,保证初始状态ne.()目标函数:经过R轮后线性逼近的相关系数|c o r|Rjn isji,则目标函数为m i nRjn isji.()新密码S盒的设计与安全性分析密码算法设计与评估相互促进,不可分割.在分组密码算法的设计过程中,首先要选择算法结构,然后再选择各个部件的参数,比如S盒规模、循环移位量和轮常数等.当结构和筛选的参数进行优化组合后,最终需要对设计的算法进行最后的软硬件性能评估和安全性评估.软硬件性能指标评估一般包括吞吐量、时延和硬件面积等,而安全性评估中最经典的是差分密码分析和线性密码分析.总之,设计算法的最终目标是选择一组最优的参数,能同时保证
31、算法的安全性和软硬件实现效率.图新密码S盒结构图 新密码S盒的设计 结构设计A l z e t t e是以A R X结构为基础构造的S盒,可以用较低的硬件代价实现,对于一些资源受限的应用,此种低实现成本的S盒更容易构造满足物存联网终端设备需求的轻量级分组密码算法.在安全性方面,S盒的规模越大,随机产生的密码S盒的密码性能就越好,即具有高非线性度和低差分均匀性.为抵御差分密码分析和线性密码分析,同时也考虑到上述硬件实现成本,新密码S盒仍然基于A R X结构.新密码S盒结构如图所示,图中给出的是轮结构,每轮称为一个“s t e p”,每个s t e p中包括个模加操作、个循环移位、个异或、个分支和
32、个轮常数加操作.由图可知,新密码S盒中每个s t e p的硬件实现成 本与A l z e t t e是保 持一致的.循环移位量循环移位相当于扩散层,它的作用是将输出打乱、混合.循环移位量的选取不仅会影响软件实现成本,而且直接影响新密码S盒抵抗差分/线性密码分析的能力;如果扩散足够好,则抵抗差分/线性密码分析的能力则越强.这里,循环移位量的选取准则是以最小化软件实现成本、最大化安全界为目标.出于效率的考虑,引用文献 中测试A l z e t t e实例的每个循环移位量所需要的软件实现成本,旨在当软件实现成本与A l z e t t e相同时,寻找能够更好抵抗差分/线性密码分析的A R X盒.表循
33、环移位量的软件实现成本c o s t循环移位量,为了减少搜索空间,首先要根据软件实现成本,计算循环移位量的可行方案.对比文献 中的软件实现成本表,当软件实现成本 c o s t ,且个循环移位量对应的软件实现成本为(,)时,软件实现成本与A l z e t t e相同,相应的循环移位量的取值如表所示.将所有的情况进行排列组合,循环移位量的选取共有 种可行方案.然后将可行方案划分为两类:参数重复选取和非重复选取.例如,(t,t,t,t,t,t,t,t)(,)为参数重复选取,因为该方案中t,t都为;而(t,t,t,t,t,t,t,t)(,),由于每个参数的取值都不同,属于参数非重复选取.经过计算,
34、第期樊婷等:一种大状态轻量级密码S盒的设计与分析h t t p:/j o u r n a l x i d i a n e d u c n/x d x b参数非重复选取的方案共有 种,如表所示.然后,需要对 种方案进行安全性测试,节 给出了具体过程.表 组参数(t,t,t,t,t,t,t,t)(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,
35、),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,),(,)轮常数添加轮常数目的是消除算法结构的对称性,保证轮与轮之间具有一定的独立性.文中构建的差分/线性分析的自动化搜索模型,不涉及异或轮常数的操作.
36、因此,添加轮常数对实验结果无影响.图中,c(rm o d)表示新密码S盒的轮常数,其中r表示轮数,cc取值为cb e ,cb f ,c b d a ,c e ,cb b e b,c f c b ,c c f b f a c,c c b d 新密码S盒的安全性分析新密码S盒包含种操作:模加、循环移位、异或和分支.在差分密码分析中,分支操作对差分状态无影响,因此只需要对模加、循环移位和异或操作进行建模.在线性密码分析中,异或操作对线性掩码无影响,只需要对模加、循环移位和分支操作进行建模.利用前面提出的自动化搜索模型,对参数非重复选取的 种方案进行测试.由于搜索空间大、耗时较长,为了提高区分器搜索概
37、率,使用“层次筛选法”,并调用“回调函数”,测试新密码S盒的每轮最优差分特征/线性逼近.表新密码S盒最优差分特征/线性逼近的阈值分析方法轮数差分密码分析 线性密码分析 “层次筛选法”是指通过提前设置每轮的最优差分特征/线性逼近的上界,筛选满足当前安全界的新密码西安电子科技大学学报第 卷h t t p:/j o u r n a l x i d i a n e d u c n/x d x bS盒方案.如表所示,每轮设置的最优差分特征/线性逼近的上界称为阈值,每两轮的阈值是完全相同的.由于新密码S盒的模加操作被包含在奇数轮中,因此只测试奇数轮,可得到每一轮的最优差分特征/线性逼近.但是,为了加快搜索
38、进程,快速搜索到可满足当前安全界的最优方案,采用图中的步骤进行筛选.如果满足当前步骤设定的阈值,则保留该方案,继续进行下一步测试,否则就从整个搜索空间中删除该方案.其中,QQ代表执行每一步测试后剩余的候选方案集合.图“层次筛选法”执行步骤“回调函数”是G u r o b i求解器中的一个函数,可以跟踪优化过程的进度,在求解模型时提供了高级控制功能.有时候在求解过程中需要获取一些信息、提前终止优化等,这些功能需要通过“回调函数”来实现.举个例子,在进行安全性测试时候,需要运行一个M I L P模型,当M I L P模型在优化过程中显示的当前最优值小于设定的阈值时,就可以调用“回调函数”来提前终止
39、模型,启动下一个模型.具体代码如下所示.算法回调函数.d e fm y c a l l b a c k(m o d e l,w h e r e):/定义回调函数m y c a l l b a c k,m o d e l表示模型名,w h e r e表示回调函数触发点 i fw h e r e G R B C a l l b a c k M I P:/当回调函数触发点为当前M I P时 o b j v a l m o d e l c b G e t(G R B C a l l b a c k M I P_O B J B S T)/令o b j v a l等于当前目标最优值 i fo b j v
40、a lt h r e s h o l dv a l u e:/如果o b j v a l小于给定的阈值t h r e s h o l dv a l u e m o d e l t e r m i n a t e()/终止模型在自动化分析模型中,通过调用回调函数,可以提前终止不满足要求的方案,缩短总体测试时间.图给出经过“层次筛选法”每个步骤后的剩余候选方案数量.由图可知,执行第步操作后,此时能满足安全上界的方案较少,候选方案数量从 减少到,筛除了 种不满足的方案,为加快后续步骤的执行奠定了基础.从第步至第步,候选方案数量继续下降,保持递减趋势,表明了该方法是可靠的、有效的.进一步,为了体现“回
41、调函数”对测试速度的影响,对比了使用回调函数和不使用回调函数种情况下的测试时间,实验平台为I n t e r(R)X e o n(R)G o l d C P U GH z(内存 G B),测试结果如表所示.其中,T表示不使用回调函数时的测试时间,T的表示使用回调函数的测试时间.由于第步测试时间较短,在不使用“回调函数”的情况下仅用 秒就可以完成测试,因此这里给出第步至第步的对比结果.由表可知,无论执行第几步,使用“回调函数”的情况下测试时间更短,尤其在执行第步时,T比T提升了约 倍.表测试时间对比“层次筛选法”执行步骤T/sT/s第步 第步 第步 第步 图“层次筛选法”过程中候选方案数量变化
42、结果对比经过测试,最终搜索到种满足条件的方案,具体结果见表.这种方案的个循环移位量分别为(t,t,t,t,t,t,t,t)(,)和(,).与文献 中A l z e t t e的第期樊婷等:一种大状态轻量级密码S盒的设计与分析h t t p:/j o u r n a l x i d i a n e d u c n/x d x b安全性进行对比,当R时,新密码S盒的最优差分特征(线性逼近)的概率为(),而A l z e t t e最优差分特征(线性逼近)概率为 ();R时,新密码S盒的最优差分特征概率为,而此时A l z e t t e最优差分特征概率为 ;R时,新密码S盒的最优线性逼近概率为,而
43、此时A l z e t t e最优线性逼近概率为 .由此可见,与A l z e t t e相比,新密码S盒在第轮就能够更好地抵抗差分密码分析和线性密码分析,在第轮和第轮抵抗差分密码分析和线性密码分析的能力更出色.表结果对比分析方法S盒名称(t,t,t,t,t,t,t,t)轮数算法差分密码分析线性密码分析A l z e t t e新密码S盒A l z e t t e新密码S盒(,)(,)(,)(,)(,)(,)文献 文中算法文献 文中算法 结束语笔者基于A R X结构,设计了一种 b i t的大状态轻量级密码S盒.针对循环移位量的选取,首先对候选方案进行分类,然后采用“层次筛选法”,结合M I
44、L P技术构建差分/线性密码分析的自动化分析模型,最终搜索到种最佳的候选方案.此外,在自动化分析模型中,通过调用“回调函数”来优化模型,将目标最优值不满足给定条件的模型提前终止,大大缩短了运行时间,提高了搜索效率.新密码S盒与文献 的A l z e t t e所需的软硬件实现成本相当;在安全性分析方面,新密码S盒在迭代轮后比A l z e t t e抗差分密码分析和线性密码分析的能力更强;随着迭代轮数的增加,其抵抗差分/线性密码分析的能力可以达到更高的水平.参考文献:N I S T敭 L i g h t w e i g h tC r y p t o g r a p h yP r o j e c
45、 t s E B O L 敭 敭 h t t p s c s r c 敭 n i s t 敭 g o v P r o j e c t s l i g h t w e i g h t C r y p t o g r a p h y f i n a l i s t s 敭 C A C R敭全国密码算法设计竞赛 E B O L 敭 敭 h t t p s s f j s 敭 c a c r n e t 敭 o r g 敭 c n s i t e t e r m l i s t_ _敭 h t m l 敭 吴文玲 张蕾 郑雅菲 等敭分组密码u B l o c k J 敭密码学报 敭WU W e n l
46、 i n g Z HAN GL e i Z HE N G Y a f e i e ta l 敭 T h eB l o c kC i p h e ru B l o c k J 敭 J o u r n a lo fC r y p t o l o g i cR e s e a r c h 敭 崔婷婷 王美琴 樊燕红 等敭 B a l l e t 一个软件实现友好的分组密码算法 J 敭密码学报 敭C U IT i n g t i n g WAN G M e i q i n F ANY a n h o n g e ta l 敭 B a l l e t AS o f t w a r e F r i e n
47、 d l yB l o c kC i p h e r J 敭 J o u r n a lo fC r y p t o l o g i cR e s e a r c h 敭 C S R C敭 L i g h t w e i g h tC r y p t o g r a p h y R o u n dC a n d i d a t e s E B O L 敭 敭 h t t p s c s r c 敭 n i s t 敭 g o v P r o j e c t s l i g h t w e i g h t c r y p t o g r a p h y r o u n d c a n d i d
48、 a t e s 敭 B E R N S T E I N DJ K L B LS L U C K SS e ta l 敭 G i m l i A C r o s s P l a t f o r m P e r m u t a t i o n C P r o c e e d i n g so ft h e t hI n t e r n a t i o n a lC o n f e r e n c eo nC r y p t o g r a p h i cH a r d w a r ea n dE m b e d d e dS y s t e m s CHE S 敭 H e i d e l b e
49、 r g S p r i n g e r 敭 B E I E R L EC B I R Y U K O V A D O SS A N T O SLC e ta l 敭 L i g h t w e i g h tA E A Da n dH a s h i n gU s i n gt h eS P A R K L EP e r m u t a t i o nF a m i l y J 敭 I A C RT r a n s a c t i o n so nS y mm e t r i cC r y p t o l o g y S 敭 叶涛 韦永壮 李灵琛敭 KNO T认证加密算法的零和区分器分析 J
50、 敭西安电子科技大学学报 敭Y ET a o WE IY o n g z h u a n g L IL i n g c h e n 敭 A n a l y s i so fZ e r o S u m D i s t i n g u i s h e ro ft h eKN O T A u t h e n t i c a t e dE n c r y p t i o nA l g o r i t h m J 敭 J o u r n a l o fX i d i a nU n i v e r s i t y 敭 谭豪 申兵 苗旭东 等敭 G i m l i认证加密方案的不可能差分分析 J 敭西安电子
©2010-2024 宁波自信网络信息技术有限公司 版权所有
客服电话:4008-655-100 投诉/维权电话:4009-655-100